网络安全-19：恶意软件课件.pptVIP

西安电子科技大学计算机学院 Chapter 19 恶意软件 病毒和其它恶意代码 计算机病毒已众所周知 是一种具有恶意代码的软件 破坏性是明显的 在新的报告，小说，电影中都有描述 经常被夸大 得到更多的关注 还是很令人担心的 恶意软件 后门或陷门 进入程序的秘密入口 允许绕过一般的安全过程而访问系统 已被开发人员广泛使用 当留在产品中后，若被攻击者发现则成为一个威胁。 在OS中很难避免 需要良好的软件开发和升级 逻辑炸弹 最古老的恶意软件之一 在合法程序中嵌入逻辑炸弹代码 当指定的条件满足时，激活发作： 如 一些文件的出现或消失 特殊的日期或时间 特定的用户 当发作时，一般都会毁坏系统 修改/删除文件或磁盘, 宕机, 等 特洛伊木马 具有副作用的程序 表面上很有用很诱人 如游戏, 软件升级等 运行时，完成一些附加的任务 允许攻击者间接地获得他们直接无法获得的访问 常用于病毒、蠕虫的扩散或后门的安装 或者就直接破坏数据 Zombie（肉机） 被其它网络计算机所秘密控制的程序或计算机 使用他们以完成间接攻击 常用于发起分布式拒绝服务攻击 DDoS 利用网络系统中的已知漏洞 病 毒 能够自身复制且能附着在其它代码上的一段代码 生物病毒 既要能复制自己也要有载体 承载代码用以进行自身复制 代码同时也可完成某些转换任务 病毒操作 病毒状态: 潜伏阶段 传染阶段 触发阶段 发作阶段 与特定OS相关 利用某些功能或弱点 病毒结构 program V : goto main; 1234567; subroutine infect-executable : loop: file : get-random-executable-file; if first-line-of-file 1234567 then goto loop else prepend V to file; subroutine do-damage : whatever damage is to be done subroutine trigger-pulled : return true if condition holds main: main-program : infect-executable; if trigger-pulled then do-damage; goto next; next: 病毒的种类 依攻击方法分类如下： 寄生性病毒 常驻存储器病毒 引导扇区病毒 隐蔽性病毒 多态性病毒 变异病毒（改变行为或外观） 宏病毒 宏病毒依附于某些数据文件 通过使用数据文件而得到解释运行 如Word/Excel宏 尤其，用自动命令或命令宏 现在，病毒代码与平台独立。 是一种主要的新病毒传染方式 模糊了数据和程序的区别 “易于使用” vs “安全性” Word对其安全性进行了改进 不再是主要的病毒威胁 Email病毒 通过邮件的使用进行扩散，邮件的附件包含宏病毒 如Melissa病毒 当用户打开附件时发作 或者在邮件程序打开邮件阅读时发作 因此传播非常快 常以Microsoft Outlook mail 和Word/Excel 文档为目标 需要更加安全的OS和应用程序 蠕虫 复制但不感染程序 典型地通过网络进行扩散 如 1988年的Morris 蠕虫 成立了 CERTs 利用用户分散的特权或系统弱点 广泛地被黑客用于产生肉机, 接着再进行进一步的攻击，例如DoS 。 主要问题是持久在线的系统缺乏安全性，尤其是PC。 蠕虫操作 蠕虫的状态如同病毒: 潜伏阶段 传染阶段 查找下一个感染目标 建立与远程目标的连接 复制自己到远程系统 触发阶段 发作阶段 Morris蠕虫 众所周知的典型蠕虫病毒 由Robert Morris 于1988年设计 目标Unix系统 采用多种传播技术 破译本地口令文件，获得简单口令 利用finger协议的漏洞 在发送邮件的远程处理中设置陷门 上述攻击只要有一个能成功，就复制自己进行传播。 蠕虫技术 跨平台 多途径（Multiexploit）：以各种方法利用系统漏洞 传播迅猛 变形：改变外形以逃避检查 变异：改变外观和行为 传播工具：不断制作新肉机 零日利用：利用系统未知的风险 病毒对策 最好的对策就是预防，但一般不太可能。 因此需要： 检测 鉴别（种类） 删除 防病毒软件 第一代 扫描器用病毒的标识鉴定病毒 或通过程序长度的改变 第二代 启发式规则来发现病毒 或采用程序的密码哈希来发现改变 第三代 通过驻留内存的程序，主动设置陷阱来发现病毒。 第四代 防病毒技术的综合 如 扫描和行为陷阱，访问控制等 …… 高级防病毒技术 通用解密技术 在运行前，采用CP